Bulletin d'alerte Debian
DSA-3495-1 xymon -- Mise à jour de sécurité
- Date du rapport :
- 29 février 2016
- Paquets concernés :
- xymon
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2016-2054, CVE-2016-2055, CVE-2016-2056, CVE-2016-2057, CVE-2016-2058.
- Plus de précisions :
-
Markus Krell a découvert que xymon, un système de monitoring réseau et d'applications, était vulnérable aux problèmes de sécurité suivants :
- CVE-2016-2054
Le traitement incorrect des entrées fournies par l'utilisateur dans la commande
config
peut déclencher un dépassement de pile, menant à un déni de service (via le plantage d'application) ou à l'exécution de code distant. - CVE-2016-2055
Le traitement incorrect des entrées fournies par l'utilisateur dans la commande
config
peut conduire à une fuite d'informations en servant des fichiers de configuration sensibles à un utilisateur distant. - CVE-2016-2056
Les commandes traitant la gestion des mots de passe ne valident pas correctement les entrées fournies par l'utilisateur et sont ainsi vulnérables à l'injection de commande shell par un utilisateur distant.
- CVE-2016-2057
Les permissions incorrectes sur un système de mise en queue interne permettent à un utilisateur ayant un compte local sur le serveur maître xymon de contourner toutes les listes de contrôle d'accès basées sur le réseau et ainsi d'injecter des messages directement dans xymon.
- CVE-2016-2058
L'échappement incorrect des entrées fournies par l'utilisateur dans les pages web de statut peut être utilisé pour déclencher des attaques réfléchies par script intersite.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.3.17-6+deb8u1.
Nous vous recommandons de mettre à jour vos paquets xymon.
- CVE-2016-2054